Meldepflicht ist zu teuer

Eine gesetzliche Meldepflicht sei für die Unternehmen zu teuer, sagte auch der Geschäftsführer des Bitkoms Bernhard Rohleder auf der Konferenz am Hasso-Plattner-Institut für Informatik in Potsdam. Er sehe die Meldepflicht skeptisch, weil der bürokratische Aufwand in keinem Verhältnis zum Nutzen stehe und zusätzlich unnötige Kosten verursache. Ein entsprechendes Gesetz werde sicherlich nicht mehr in der laufenden Legislaturperiode verabschiedet werden. Zu groß seien die Unstimmigkeiten zwischen Wirtschaftsministerium und Innenministerium.

Es gebe noch zahlreiche Bedenken, etwa bei der möglichen Überlagerung zwischen deutscher und europäischer Gesetzgebung, sagte der Leiter der European Network and Information Security Agency (Enisa) Udo Helmbrecht. Ein weiterer Unterschied zur europäischen Variante sei die Einbeziehung der Provider in die Meldepflicht. Das sei in Europa vorgesehen, in Deutschland aber nicht. Sollte Deutschland hingegen keine eigene Initiative zur Meldepflicht erarbeiten, würde Europa die Vorschläge anderer umsetzen müssen, warnte Rohleder.

Wirtschaft in Gefahr

Vertreter aus Wirtschaft und IT sehen die Gefahrenlage im Netz ebenfalls drastisch und erläutern ihre aktuellen Gegenmaßnahmen gegen "Cyberkriminelle" und "Hacker". Ibrahim Karasu vom Bundesverband deutscher Banken sieht mit den zunehmenden Angriffen einen potenziellen Vertrauensverlust der Bankkunden und fordert ein "abgeschlossenes sicheres Internet mit garantierter Bandbreite." Gerrit Bleumer von der Francotyp-Postalia pflichtet ihm bei. Nicht auszudenken wäre es, wenn Cyberkriminelle die von seiner Firma vertriebenen Frankiermaschinen hacken würden, sie seien "wie Geldautomaten". Jan Neutze, Sicherheitsexperte bei Microsoft, erklärt, dass Angriffe nicht mehr in erster Linie über Betriebssysteme (30 Prozent), sondern über fehlerhafte Software, Hardware sowie über "das Bios" erfolgen und wie sehr sich seine Firma inzwischen um die Sicherheit seiner Kunden bemüht. Volker Smid, Vizechef bei HP, sieht vor allem mittelständische Unternehmen in Gefahr. Sie können sich aber Hilfe bei Expertenfirmen holen, das sei eine durchaus lohnende Investition. Es reiche nicht mehr, einen Zaun um ein Werksgelände zu bauen.

Keiner könne aber genau beziffern, wie groß der Schaden durch Netzangriffe tatsächlich sei, sagte Rohleder. Und deshalb seien auch die Kosten für Gegenmaßnahmen kaum überschaubar. Umfragen des Bitkoms hätten aber ergeben, dass nur etwa 57 Prozent der Unternehmen die Bedrohung aus dem Netz ernst nehmen. Und nur etwa die Hälfte dieser Unternehmen hätte einen ernstzunehmenden Notfallplan. Wichtiger seien deshalb die Aufklärung und ein effizienter Austausch von Informationen. Die IT-Produkte müssen sicherer werden.

Kriminelle im Vorteil

Das Hasso-Plattner-Institut hat inzwischen eine Datenbank entwickelt, die Schwachstellen und Sicherheitslücken in Computersystemen sammelt und in einem einheitlichen Format bereitstellt. Als Quellen dienen unter anderem NVD, CPE, OSVDB, Secunia, Security Focus, die Microsoft Security Bulletins, die Google Security Notes und die Security Notes von SAP. Damit können Unternehmen auf konkrete Gefahren reagieren und "im Notfall den Netzstecker ziehen", sagte Christoph Meinel.

Die zahlreichen Vorschläge offenbarten auf der Konferenz zur Cybersicherheit große Ratlosigkeit angesichts der durchaus realen Bedrohung für Unternehmen aus dem Netz. Einige Teilnehmer stellten selbst die Netzneutralität infrage, etwa durch die Forderung eines vom Internet abgetrennten Netzes. Eine Offenlegung der tatsächlichen Gefahrenlage wäre durchaus wünschenswert - im Zweifel auch eine verpflichtende Meldepflicht. Immerhin setzen fast alle Teilnehmer auf präventive Maßnahmen. Und sie fordern eine bessere Ausbildung, um den Mangel an fähigem Personal für die Abwehr von Netzkriminalität auszugleichen. Aktuell seien die Kriminellen im Vorteil, so der Tenor der Veranstaltung.